Universidad de LenCon Reconocimiento de Validez Oficial de la Secretara de Educacin Pblica, segn acuerdo nmero 00933085, con fecha del 05 de diciembre de 1991.

DISEO DE PROCEDIMIENTOS DE SEGURIDAD INFORMTICA PARA EMPRESAS PEQUEAS Y MEDIANAS DEL SECTOR DEL CALZADO EN LA CIUDAD DE LEN, GUANAJUATO

T E S I SQUE PARA OBTENER EL TTULO DE

LICENCIATURA EN INFORMTICA ADMINISTRATIVA

PRESENTA:

ERIK RICARDO CERVANTES ROMERO

LEN, GTO.

2011

1

NDICEINTRODUCCIN CAPTULO 1 LA SEGURIDAD DE LA INFORMACIN 1.1 Qu es la seguridad? 1.2 Qu es la informacin? 1.3 De quines se protegen las empresas? 1.3.1 Ataques Pasivos 1.3.2 Ataques Activos 1.4 Seguridad lgica 1.4.1 Las amenazas 1.4.2 Controles 1.5 Seguridad fsica 1.6 Seguridad en redes 1.6.1 El anfitrin promiscuo 1.6.2 Autenticacin 1.6.3 Autorizacin 1.6.4 Contabilidad 1.7 Controles generales para la seguridad informtica 1.7.1 Seguros para los equipos CAPTULO 2 METODOLOGA INFORMTICA 2.1 Tipos de metodologas 2.1.1 Metodologas Cuantitativas 2.1.2 Metodologas Cualitativas 2.2 Tipos de riesgos2

PARA

LA

EVALUACIN

DE

LA

SEGURIDAD

2.2.1 Riesgos Externos 2.2.2 Riesgos internos 2.2.3 Delitos informticos ms usuales 2.3 Principales vulnerabilidades en el rea de sistemas 2.4 Metodologa de anlisis de riesgos 2.4.1 Objetivos especficos del anlisis de riesgo 2.5 Mtodo marion 2.6 Metodologa bs 7799 2.7 Otras metodologas 2.7.1 PRIMA (Prevencin de Riesgos Informticos con Metodologa Abierta) 2.7.2 BDSS: Bayesian Decisin Support System, Sistema Bayesiano de Soporte a Decisiones. 2.8 La proteccin de la informacin 2.9 Anlisis de riesgos 2.10 Planes de contingencia 2.10.1 Beneficios de un plan de contingencia para la seguridad 2.10.2 Etapas clave en la elaboracin de planes de contingencia CAPTULO 3 PAUTAS Y RECOMENDACIONES PARA ELABORAR POLTICAS DE SEGURIDAD INFORMTICA 3.1 Qu son las polticas de seguridad informtica? 3.2 Elementos de una poltica de seguridad informtica 3.3 Parmetros para establecer polticas de seguridad 3.4 Razones que Impiden la Aplicacin de las Polticas de Seguridad Informtica 3.5 Las polticas de seguridad informtica como base de la Administracin de la seguridad integral 3.6 Cmo controlar los desafos actuales a la seguridad?

3

CAPTULO 4 METODOLOGA DE FORMULACIN DE POLTICAS EN SEGURIDAD INFORMTICAPARA EMPRESAS PEQUEAS Y MEDIANAS DEL SECTOR DEL CALZADO EN LA CIUDAD DE LEN, MXICO 4.1 Situacin de las empresas del calzado en Len, Guanajuato 4.2 Contexto de las polticas se seguridad en las empresas 4.3 Caractersticas principales de una PSI 4.4 Metodologa de PSI 4.4.1 Polticas de seguridad 4.4.2 Organizacin de seguridad 4.4.3 Clasificacin y control de activos 4.4.4 Seguridad del personal. 4.4.5 Seguridad fsica y ambiental 4.4.6 Administracin de comunicaciones y operaciones 4.4.7 Control de accesos 4.4.8 Mantenimiento y desarrollo de sistemas 4.4.9 Administracin de continuidad del negocio 4.4.10 Cumplimiento CONCLUSIONES ANEXO BIBLIOGRAFA

4

INTRODUCCIN A pesar de que un gran nmero de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, muy pocas alcanzan plenamente sus objetivos, ya que la primera barrera que se enfrenta es convencer a los altos ejecutivos de la necesidad y beneficios de buenas polticas de seguridad informtica y su cumplimiento. Esta situacin ha llevado a que muchas empresas con activos muy importantes se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen su informacin confidencial y por ende el resguardo sus documentos confidenciales. Ante esta situacin, los directivos de las organizaciones deben confirmar que las personas entiendan la importancia estratgica de la seguridad, conozcan sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. Si se quiere que las polticas de seguridad sean aceptadas, deben integrarse a las estrategias de la empresa, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencia en las proyecciones y utilidades de la organizacin. En as como las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva. Ante esta situacin el proponer o identificar una poltica de seguridad se vuelve prioritario ya que se requiere un alto compromiso con la organizacin, agudeza tcnica para identificar vulnerabilidades y debilidades, y constancia

5

para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea las empresas modernas. Finalmente, es importante sealar que las polticas constituyen un marco para la seguridad de las organizaciones, ellas deben responder a intereses y necesidades organizacionales basadas en la visin de negocio, que lleven a un esfuerzo conjunto de sus actores por administrar sus recursos, y a reconocer en los mecanismos de seguridad informtica factores que facilitan la formalizacin y materializacin de los compromisos adquiridos con la administracin de la informacin. En la presente tesis busco resaltar la importancia que tiene el establecer y mantener un nivel ptimo de seguridad de la informacin dentro de las organizaciones a travs del establecimiento de un manual que contenga las polticas y los lineamientos en seguridad informtica para las empresas pequeas y medianas del sector del calzado en Len, Guanajuato.

6

CAPTULO 1 LA SEGURIDAD DE LA INFORMACIN Actualmente, el uso de las computadoras se ha vuelto una herramienta imprescindible para las empresas de cualquier ramo de la industria, que pretenden mejorar su competitividad ante el mercado. La informacin que se genera a travs de este tipo de herramientas es uno de los activos ms importantes dentro de una empresa, ya que a partir de sta se pueden obtener infinidad de datos y estadsticas que son insumos muy valiosos en las empresas para la toma de decisiones. Por lo tanto, es de vital importancia que se cuente con esquemas de seguridad informtica, por muy bsicos que sean, de tal manera que se pueda garantizar no solo a los clientes sino a los empleados y a los propietarios de la empresa que su informacin est protegida. Con un buen esquema de seguridad de informacin la empresa limita el acceso y evita fugas, daos o prdida de la misma adems de ofrecer confidencialidad, integridad y disponibilidad de la informacin a sus clientes. Para poder establecer un buen esquema de seguridad es necesario analizar las amenazas o riesgos a los que est expuesta la informacin. Para este fin se utilizan diversas tcnicas, entre ellas se encuentra el anlisis de riesgo, herramienta que sirve para cuantificar los riesgos a que estn sujetos los activos de una empresa, la prdida esperada y el costo de tomar medidas para controlar la situacin. Si no se lleva a cabo una evaluacin peridica de los esquemas de seguridad, o no se toman las acciones adecuadas en base a los resultados de estos, es posible que la informacin no est totalmente protegida.

7

La tecnologa de la informacin nos est introduciendo rpidamente en una nueva era, posterior a la industrial, la cual se encuentra en sus etapas iniciales. Se ha dicho que el elemento bsico en esta tecnologa, el microprocesador, cobrar mayor importancia que la mquina de vapor, la cual en su propio tiempo puso los cimientos para la revolucin industrial. 1 Segn datos de Microsoft se ha calculado que el volumen total de informacin se est incrementando a una tasa aproximada de 20% anual. En forma paralela a este crecimiento, nosotros, los especialistas en tecnologa de la informacin, debemos mantenernos actualizados, de manera que estemos capacitados para tomar las decisiones correctas. Esto significa que debemos tener la capacidad de manejar y administrar informacin en forma segura y confiable; significa tambin que debemos cual podamos confiar. Qu tan segura est la informacin que utiliza y necesita nuestra tener sistemas que estn disponibles siempre que los necesitemos y que produzcan informacin en la

sociedad? El hecho de que los grandes desastres no se produzcan todos los das y sean ms bien ocasionales no significa que tengamos totalmente controlada la situacin. Todos los das pueden ocurrir robos de informacin, incendios y aun sabotaje contra instalaciones de procesamiento electrnico de datos. Esto puede no representar una catstrofe para la sociedad, pero seguramente si es lo suficientemente serio para los afectados. Tambin pueden ocurrir desastres naturales, tales como terremotos, inundaciones, erupciones volcnicas, entre otras, en este caso, representaran una catstrofe para toda la sociedad afectando, entre otras cosas, a los sistemas de informacin.

1

Braun Unda, M. Ciencias y tcnicas de la informacin, UNAM, 2004, p. 35.

8

Cada da ms funciones vitales para la sociedad estn basando su ejecucin y su futuro en la tecnologa de la informacin. Mientras mejor aprovechemos este poderoso recurso e integremos sistemas de cmputo a nuestros procesos operativos y administrativos, mayor relevancia tendr la seguridad de la informacin. As, hay una necesidad real para incrementar el conocimiento de los temas referentes a seguridad y vulnerabilidad de la informacin. 1.1 QU ES LA SEGURIDAD? La funcin del procesamiento de datos es un servicio de toda organizacin que apoya no solo a los sistemas de informacin administrativa sino tambin a las operaciones funcionales, por lo tanto, la seguridad de la informacin es un aspecto de gran importancia para la correcta administracin informtica. Las medidas de seguridad estn basadas en la definicin de controles

fsicos, funciones, procedimientos y programas que conlleven no solo a la proteccin de la integridad de los datos, sino tambin a la seguridad fsica de los equipos, dispositivos y de los ambientes en que estos se encuentren. La seguridad de la informacin y por consiguiente de los equipos informticos, es una cuestin que llega a afectar incluso a la vida privada de las personas, de ah que resulte obvio el inters creciente que da a da se evidencia sobre este aspecto por parte de la nueva sociedad informtica. Cuando se habla de seguridad, se habla tambin de tres aspectos que se deben contemplar siempre: confidencialidad, integridad y disponibilidad

9

y La confidencialidad, se cumple cuando solamente las personas autorizadas pueden conocer los datos o la informacin correspondiente. y La integridad, consiste en que solo los usuarios autorizados puedan alterar los datos. y La disponibilidad, se alcanza si las personas autorizadas pueden acceder a tiempo a la informacin a la que estn autorizadas.2 Adems de estos tres aspectos, tambin deben existir las autorizaciones necesarias para que los usuarios puedan ingresar a las bases de datos en las que slo ellos puedan hacer uso. 1.2 QU ES LA INFORMACIN? Informacin es una palabra usada de muchas maneras, pero en relacin con el procesamiento electrnico de datos (EDP por sus siglas en ingles), significa datos recopilados y presentados de modo que contengan significado. un

Un sistema efectivo de informacin basado en EDP que puede producir la informacin correcta para la persona indicada en el tiempo necesario, apoyando la toma de decisiones correcta, se ha vuelto uno de los factores competitivos ms importantes en estos das. Manejo de la Informacin La informacin y los sistemas de informacin son muy valiosos. Por lo tanto, deberan ser tratados como un recurso estratgico, como el capital o laInformacin presentada en el seminario Construyendo un servidor Internet seguro del Instituto para la Seguridad en Internet http://www.intise.com. 2011.2

10

infraestructura y se les debera dar la misma proteccin. Toda la informacin debe ser protegida para asegurar credibilidad junto con calidad y precisin al usuario. El responsable de la seguridad de la informacin es el propietario de la informacin. El principal desafo y riesgo para la seguridad est representando no por la tecnologa sino por la gente involucrada. Por lo tanto es necesario decidir que informacin no debera estar disponible para todos, pero s para personal con cierto perfil. La clasificacin de informacin sensitiva requiere ser formalizada, a fin de preservar la seguridad de la informacin bajo condiciones ms extremas. En el caso de los sistemas de informacin automatizados, se debe establecer la jerarqua de autorizacin formal antes de que los sistemas sean puestos en produccin. 1.3 DE QUINES SE PROTEGEN LAS EMPRESAS? Segn Russell3, la seguridad en Informtica tiene su nacimiento con la aparicin de los ataques a la informacin por parte de intrusos interesados en el contenido de sta. Los tipos de ataque en la seguridad de una computadora o una red de datos se pueden caracterizar por la inspeccin realizada sobre una computadora que funciona como proveedora de informacin. Los manera a) Interrupcin: La informacin del sistema es destruida o llega a ser inutilizable. Este es un ataque sobre la disponibilidad. En este ataque se puede incluir ejemplos de destruccin de hardware, como un disco duro o el corte de una lnea de comunicacin. tipos de ataque se pueden categorizar de la siguiente

3

Russell, Instituto Nacional de Estadstica e Informtica, Per, 2010, p. 55.

11

b) Intercepcin: Una participacin sin autorizacin por parte de una persona, computadora o programa en una comunicacin. Este es un ataque sobre la confidencialidad. Un ejemplo podra ser la copia ilegal de programas, nmeros de cuenta o archivos. c) Modificacin: Una participacin sin autorizacin, pero no solo accediendo a la informacin sino que tambin alterndola. Este es un ataque sobre la integridad. Los ejemplos podran ser los cambios de valores en archivos y programas o la modificacin de mensajes transmitidos en una red. d) Fabricacin: Introduccin de objetos falsificados en un sistema sin autorizacin. Este es un ataque sobre la autenticidad. Un ejemplo seria la introduccin de mensajes falsos en una red.4 Estas categoras de ataques se pueden resumir en dos tipos: ataques pasivos y activos. 1.3.1 Ataques Pasivos Los ataques pasivos son simplemente observaciones de datos reservados durante una transmisin. La finalidad del intruso es la obtencin de la informacin transmitida y podemos clasificarlos en dos tipos de ataque: a) La observacin del contenido del mensaje y b) el anlisis de trfico. El primero sera el entendimiento por parte de un intruso del contenido de una transmisin que contiene informacin confidencial, como una conversacin telefnica o correo electrnico.

Russell Deborah. Some Security History. Computer Security Basic. Oreilly & Assoc. Inc. 2003. p. 8-9

4

12

El anlisis de trfico sera la observacin por parte del intruso sobre la longitud del mensaje, la identificacin de los usuarios y la frecuencia de transmisin, pero en ningn caso puede entender la informacin, pues va encriptada. Los ataques pasivos son difcilmente detectables porque no producen una alteracin de la informacin, no obstante son posibles de prevenir. 1.3.2 Ataques Activos Los ataques activos incluyen alguna modificacin del mensaje o la creacin de mensajes falsos. Hay varios tipos de ataques: y Cambiar la identidad del emisor o receptor: ocurre cuando una entidad pretende hacerse pasar por otra, lo cual se conoce como usurpacin. y Manipulacin de datos y Repeticin: capturar una informacin, guardarla un tiempo y volverla a enviar, produciendo un efecto de no autorizacin. y Denegacin de servicio: impedir una comunicacin, una respuesta, causar un rechazo de usuarios. y Enrutamiento incorrecto: atacan a los nodos dentro de la red, pues no estn tan protegidos como los terminales. 1.4 SEGURIDAD LGICA En la situacin actual de criminologa, los delitos de cuello blanco han incluido la modalidad de los delitos hechos mediante la computadora o los sistemas de informacin de los cuales el 95% de los detectados han sido descubiertos por accidente y la gran mayora no han sido divulgados para evitar dar ideas a personas mal intencionadas. Es as como la seguridad de la informacin no solo est en manos de quien la usa.13

Segn un estudio reciente de la compaa Ernst &Young, firma internacional dedicada a la consultora de negocios, el 25% de las empresas norteamericanas que operan con redes de trabajo sufrieron ataques a su informacin entre 1998 y 2000, provocando prdidas econmicas que ascienden a los US $250,000,000. En el caso de Mxico la Direccin General de Servicios de Cmputo Acadmico (DGSCA) de la Universidad Nacional Autnoma de Mxico a travs del Departamento de Seguridad en Cmputo (DSC) refiere en uno de sus estudios que el 95 % de las empresas mexicanas han presentado problemas de ataques de virus convencionales o violaciones a sus bases de datos lo que les han significado prdidas an no cuantificables, la prdida de informacin y retrasos en sus procesos productivos o de gestin. Por su parte la III Encuesta Nacional sobre Seguridad Informtica en Mxico del ao 2009, arroja los siguientes resultados: A travs de la participacin de 48 empresas voluntarias, de los estados de Aguascalientes, Baja California Norte, Chihuahua, Colima, Distrito Federal, Estado de Mxico, Guanajuato, Jalisco, Oaxaca, Puebla, Quertaro, Quintana Roo y Yucatn, se pudo consolidar el sondeo que en materia Gestin de la Seguridad presentacin de de la Informacin, algunas reflejando de que alguna manera a las las vulnerabilidades para poder establecer las tendencias de gestin y la recomendaciones coadyuven organizaciones en su proceso de adaptacin ante las realidades que la inseguridad informtica presenta hoy en da. Las empresas que participaron son de los siguientes sectores:

14

La participacin de las pequeas empresas fue la ms fuerte (43.8%), seguida de las grandes empresas (ms de 1000 empleados) con un 29.2%. Los casos de violaciones a los sistemas de seguridad tiene que ver con los siguientes aspectos:

15

Los mecanismos utilizados en nuestro pas para la proteccin de los sistemas de informacin, segn la III Encuesta Nacional sobre Seguridad Informtica en Mxico del ao 2009, son los siguientes:

Complementario a la cantidad de pruebas de seguridad, se indag sobre las herramientas que se emplean para garantizarla. El anlisis si bien muestra que la herramienta ms utilizada son los antivirus, de hecho se ha vuelto una buena prctica obligada, no es la nica opcin elegida; a diferencia de aos anteriores, la seleccin se muestra sobre diversas alternativas dando la impresin del inters que se tiene en conocer los alcances de cada mecanismo que se pone a disposicin para la proteccin de los sistemas informticos.

Con respecto a la seguridad en los sistemas de informacin el 20.8% de las empresas encuestadas sealan contar con polticas formales y el 14.6% indican estar en proceso de desarrollo, en tanto que un 64.4% de16

participantes no han iniciado la tarea de diseo o se abstuvieron de responder. En la actualidad y principalmente con el uso de las computadoras personales, se ha dado otro fenmeno que hay que considerar: la propagacin de programas que tienen la funcin de alterar o borrar toda la informacin que se tenga almacenada en un equipo de cmputo. Se trata de pequeas subrutinas escondidas en los programas, las cuales son activadas automticamente en cuanto se cumple alguna condicin. Un ejemplo es la destruccin de la informacin de la compaa USPA & IRA de Forth Worth, Texas, Estados Unidos; cuando despidieron a un programador en 2002, este dej una programacin que destrua mensualmente la informacin de ventas. Este incidente provoc el primer juicio en Estados Unidos contra una persona por sabotaje a travs de un equipo de cmputo.5 En Mxico los incidentes en este sentido suelen ser guardados celosamente por las empresas o en el sector pblico, pero se han publicado casos de ataques a las pginas del gobierno federal (presidencia de la repblica, secretara de economa), a las bases de datos de bancos y el ltimo caso tiene que ver con el hackeo de la pgina del medio de comunicacin MVS, por el despido de Carmen Aristegui de su noticiero radiofnico. El crecimiento de los fraudes por computadora se ha desarrollado de una manera importante, adems de cada vez ser ms costoso (se estima que en los Estados Unidos se han cometido crmenes por computadora por ms de

Informacin publicada en la pagina web del Instituto Nacional de Estadstica e Informtica de Per http://www.iei.gob.pe. Plan de Contingencias y seguridad de la informacin. Metodologas Informticas 2011.

5

17

tres mil millones de dlares). Smith6 considera que existen cuatro factores que han permitido el incremento en los crmenes por computadora: 1. El aumento del nmero de personas que se encuentran estudiando computacin. 2. El aumento del nmero de empleados que tienen acceso a los equipos principales. 3. La facilidad en el uso de los equipos de cmputo. 4. El incremento en la concentracin del nmero de aplicaciones y, consecuentemente, de la informacin. El uso inadecuado de una computadora comienza desde su utilizacin para usos ajenos a la organizacin, copia de programas para fines de comercializacin sin reportar los derechos de autor, hasta el acceso por va telefnica a bases de datos con el fin de modificar la informacin con propsitos fraudulentos. El tipo de seguridad puede comenzar desde la simple clave de acceso (password o contrasea) hasta sistemas ms complicados, aunque se debe evaluar que entre ms complejos y completos sean los sistemas de seguridad, sern ms costosos. Por lo tanto, se deber mantener una adecuada relacin de seguridad-costo en los sistemas de informacin. Los sistemas de seguridad generalmente no contemplan la posibilidad de fraude cometido por los empleados de la propia empresa. La introduccin de informacin confidencial a una sola computadora o equipo puede provocar que est concentrada en las manos de unas cuantas personas y una alta dependencia en caso de prdida de los registros.

6

Smith, Norbert, Universidad Tecnolgica de Chile, 2009, p. 45.

18

El ms comn de estos delitos est dado en el momento de programacin, en el cual por medio de ciertos algoritmos se manda borrar un archivo. Por ejemplo, en un sistema de nmina al momento de programarlo se puede incluir una rutina que verifique si dentro del archivo de empleados existe el registro federal de causantes del programador, en caso de existir, continua el proceso normalmente, si no existe significa que el programador que elabor ese sistema renunci o fue despedido y en ese momento borra todos los archivos indicados. Esta rutina, aunque es fcil de detectar, puede provocar muchos problemas en caso de que no se tengan los programas fuente o bien no se encuentre debidamente documentado. La seguridad de la informacin tiene dos aspectos principales: y El primero consiste en negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, el cual tambin se le puede llamar proteccin de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. y Un segundo aspecto de la proteccin es garantizar el acceso a todos los datos importantes a aquellas personas que ejerzan adecuadamente este privilegio, las cuales tienen la responsabilidad de proteger los datos que se les han confiado. En general, la proteccin de los datos requiere ejercer un control sobre la lectura, escritura y empleo de esa informacin. Para obtener mayor eficiencia en la seguridad se debe tener siempre presente la proteccin de los datos, el mantenimiento de la privacidad y la preservacin del secreto. Este se logra cuando no existe acceso a todos los datos sin autorizacin. La privacidad adecuada puede lograrse cuando los datos que puedan obtenerse no pueden

19

enlazarse a individuos especficos o no pueden utilizarse para imputar hechos acerca de ellos. Por otro lado es importante incorporar dispositivos de seguridad durante el diseo del sistema en vez de desarrollarlas despus. Los diseadores de sistemas deben entender que las medidas de seguridad han llegado a ser criterios de diseo tan importantes, como otras posibilidades funcionales, as como el incremento de costos que significa agregar funciones, despus de desarrollado un sistema de informacin. Los puntos bsicos que cualquier esquema de seguridad lgica debe abarcar son: y Sistemas de control de acceso a la informacin y Procedimientos de respaldo y Encripcin o cifrado, autentificacin y Firmas digitales y Correo electrnico seguro y Polticas claras y firmes con el personal: clasificacin de los puestos, procedimientos de contratacin, procedimientos de terminacin de contrato, procedimientos electrnicos, transferencia y entrenamiento del personal. A continuacin se enlistan y desarrollan tres aspectos importantes a considerar dentro de lo que es seguridad en informtica: y Amenazas y Controles

20

1.4.1 Las amenazas Una vez que la programacin y el funcionamiento de un dispositivo de almacenamiento (o transmisin) de la informacin se consideran seguras, todava deben ser tenidos en cuenta las circunstancias "no informticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la nica proteccin posible es la redundancia (en el caso de los datos) y la descentralizacin -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones). Estos fenmenos pueden ser causados por: y El usuario: causa del mayor problema ligado a la seguridad de un sistema informtico (porque no le importa, no se da cuenta o a propsito). y Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilcito de los recursos del sistema. Es instalado (por inatencin o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informtico, un gusano informtico, un troyano, una bomba lgica o un programa espa o spyware. y Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido. y Un siniestro (robo, incendio, inundacin): una mala manipulacin o una malintencin derivan a la prdida del material o de los archivos.

21

y El personal interno del departamento de sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informtica. 1.4.2 Controles Los controles de seguridad informtica usualmente se clasifican en tres categoras: controles fsicos, controles lgicos o tcnicos y controles administrativos. Para que los controles sean efectivos, stos deben estar integrados en lo que se denomina una arquitectura de seguridad informtica, la cual debe ser congruente con los objetivos de la organizacin y las prioridades de las posibles amenazas de acuerdo al impacto que stas tengan en la organizacin. Por lo tanto, una fase fundamental en el diseo de la arquitectura de seguridad informtica es la etapa de anlisis de riesgos. 1.5 SEGURIDAD FSICA Debido a que muchas veces las empresas no cuentan con una gua para establecer las medidas de seguridad del rea donde se encuentra la informacin ms importante es frecuente que esta rea est expuesta a diversos riesgos, como incendios, desastres naturales, ataque por intrusos, condiciones ambientales no satisfactorias, fallas de la corriente elctrica, fallas en el sistema de aire acondicionado, robo de equipo e informacin, etc., por lo tanto debe polticas, procedimientos contarse con medidas de seguridad para el y prcticas para evitar las interrupciones establecimiento adecuado del rea de sistemas. El objetivo es establecer prolongadas del servicio de procesamiento de datos o informacin

22

Los puntos bsicos que un esquema de seguridad fsica debe contemplar son:7 y Control de acceso a las reas y Control del medio ambiente y Seguridad en redes y comunicaciones y Seguros para equipos y Controles generales de la seguridad informtica y Planes de contingencia. En cuanto al control de acceso a las reas, as como el control del medio ambiente, son tpicos tratados tradicionalmente por el diseo de centros de cmputo o bien el diseo de las distintas reas de la organizacin. Sin embargo recientemente algunas empresas de Software han anunciado soluciones que abarcan estos tpicos, compartiendo la informacin del personal de la organizacin, as como su ubicacin fsica en las instalaciones, con los accesos autorizados definidos centralmente. 1.6 SEGURIDAD EN REDES En la actualidad, es muy comn la necesidad de compartir recursos, utilizar el trabajo de otros y compartir esfuerzos. Sin embargo esto implica un mayor riesgo en cuanto a prdida, destruccin de informacin, revelacin de datos a personas no autorizadas, etc. Por lo tanto, es importante mantener un esquema eficiente de seguridad en redes y comunicaciones, el cual debera incluir:

Fine Leonard. Seguridad de la s Aplicaciones. Seguridad en Centros de Computo, polticas y procedimientos Editorial Trillas. 2009. p. 70-75

7

23

y Un sistema de disponibilidad para asegurar que los activos de la red estn listos para ser usados por los usuarios autorizados y Un sistema de control de acceso que permita que los datos restringidos sean usados nicamente por personas autorizadas y Un sistema de integridad que protege contra modificacin de datos, ya sea accidental o intencional. En general, los objetivos de la seguridad en redes y comunicaciones son: 1. Preservar la confidencialidad de los datos que pasan a travs de cualquier canal de comunicacin. 2. Asegurar que el mensaje permanezca inalterado durante transmisin. 3. Asegurar que un usuario esta conectado con la persona con quien cree que est. 4. Garantizar que solamente los usuarios autorizados tienen acceso a la red, esto se logra controlando el acceso a los componentes de la red y a los passwords. 5. Garantizar la disponibilidad de la informacin para los usuarios autorizados, cuando y desde donde lo requieran. En el intento de proteger una red de computadoras, existen varias funcionescomunes a las cuales deben dirigirse. La siguiente es una lista de cuatroproblemas bsicos: y El anfitrin promiscuo. y La autenticacin de cliente y servidor. y La autorizacin de cliente y servidor y Contabilidad de cliente y servidor. su

24

1.6.1 El anfitrin promiscuo El anfitrin promiscuo es uno de los principales problemas de seguridady uno de los problemas ms urgentes de cualquier red. Si un intruso espaciente, l puede simplemente mirar que los paquetes fluyen de aqu para all a travs de la red.No toma mucha programacin el anlisis de la informacin que fluyesobre la red.Un ejemplo simple es un procedimiento de login remoto. En elprocedimiento login, el sistema pedir y recibir el nombre y contraseadel usuario a travs de la red.Durante la transmisin, esta informacin no es codificada o encriptadade cualquier forma. Una persona paciente simplemente puede esperar,y as recolectar toda la informacin que necesita para romper cualquiercuenta. 1.6.2 Autenticacin El procedimiento de login remoto ilustra el problema de autenticacin. Cmo presenta usted credenciales al anfitrin remoto para probar queusted es usted?. Cmo hace usted sto, de forma que no se repita por el mecanismosimple de una jornada registrada? 1.6.3 Autorizacin An cuando usted puede probar que usted es quien dice que es,simplemente, Qu informacin debera permitir el sistema localaccesar desde a travs de una red? Este problema de autorizacinparecera ser simple en concepto, pero considerar los problemas decontrol de acceso, cuando todo el sistema tiene su identidad remota deusuario, el problema de autorizacin sera un problema de seguridadbastante serio, en donde intervienen los conceptos de funcionesautorizadas, niveles de autorizacin, etc.

25

1.6.4 Contabilidad Finalmente, considerar el problema de contabilidad. Hay que recordarque nosotros debemos asumir que hay otros con un conocimientomayor de sistemas. Cunta contabilidad tiene que hacer el sistemapara crear una pista de revisin y luego examinar? 1.7 CONTROLES GENERALES PARA LA SEGURIDAD INFORMTICA Los controles son tcnicas especificas, procedimientos y polticas que permiten que los objetivos de las empresas se lleguen a cumplir, sin importar si estos controles son financieros o de tecnologa de la informacin. Enfocndose en el rea de tecnologa de la informacin, el hecho de desarrollar controles o mecanismos de control, permite que los sistemas sean acordes a los objetivos corporativos, los cuales son acordes con los financieros. Dentro del rea de tecnologa de la informacin, se puede considerar tres tipos de controles: y Preventivos, aseguran que las vulnerabilidades de seguridad no sean expuestas. y De deteccin, identifican deficiencias en la seguridad que han sido descubiertos y que muy posiblemente, han sido utilizados en contra de la organizacin. y Correctivos, corrigen las deficiencias en la seguridad que han sido descubiertos y que muy posiblemente, han sido utilizados en contra de la organizacin. A continuacin se presenta un cuadro sinptico con los principales controles de seguridad en tecnologa de la informacin, su descripcin y sus objetivos.26

Controles de seguridad

Descripcin de los controles de seguridad

Objetivos

Habilidad la operacin

para

recuperar Los controles deben

asegurar que la Se

debe

tener

disponibles que se

funcionalidad despus de fallas en operacin del negocio contine si los sistemas que ayuden a manejar sistemas fallan por ellos mismos o por las desastres naturales o de otro tipo. Asegurar los sistemas en general Los controles deben contingencias presentan en el uso de los sistemas. asegurar que los Confidencialidad. debe Cada entrar accesos a los sistemas de computadoras, empleado apropiadamente. Asegurar el acceso fsico

programas y datos estn restringidos nicamente a las funciones que as lo amerite su puesto de trabajo. a Los controles deben asegurar el acceso Confidencialidad e integridad. El fsico a las instalaciones de cmputo que los datos estn apropiadamente. y acceso a las reas de trabajo en deber ser restrictivo para restringidos general o al rea de sistemas salvaguardar la informacin que ah se genere o almacene. Administracin seguridad efectiva de la Los controles deben asegurar que el Confidencialidad, integridad y sistema de seguridad est siendo disponibilidad. Se debern de administrado y mantenido de manera establecer correcta. Los controles mecanismos sistemas crticos

implementados seguimiento y evaluacin a las

deben incluir el desarrollo de polticas y acciones que se implementen procedimientos de seguridad que ayuden para salvaguardar los sistemas a los empleados a darle la importancia de informacin y no dejar nada necesaria a la seguridad. en que los sistemas manejan la seguridad al azar. disponibilidad. El monitoreo Monitoreo efectivo de la seguridad Los controles deben monitorear la manera Confidencialidad, integridad y deber ser constante en los sistemas de informacin.

1.7.1 Seguros para los equipos

27

Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que envuelven a la computacin, ya que muchas veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la poca experiencia existente sobre desastres. Adicionalmente, se deben verificar las fechas de vencimiento de las plizas, pues puede suceder que se tenga la pliza adecuada pero vencida. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo separado, cada una con las especificaciones necesarias. El costo de los equipos puede variar, principalmente en aquellos pases que tienen grandes tasas de inflacin o de devaluacin, por lo que las sumas aseguradas deben estar a precio de compra (valor de adquisicin de nuevo equipo con iguales caractersticas) y no con precio del momento de contratacin del seguro. El seguro debe cubrir tantos daos por factores externos (terremoto, con las diferentes caractersticas, por lo que tal vez convenga tener dos o ms plizas por

inundacin) como por factores internos (daos ocasionados por negligencia o falta de pericia de los operadores, daos debidos al aire acondicionado, etc.).8

CAPTULO 2

8

Fine Leonard. Seguridad de las Aplicaciones. Op cit. P. 37-40

28

METODOLOGA PARA LA EVALUACIN DE LA SEGURIDAD INFORMTICA

En el captulo anterior se analiz el tema de la necesidad de mantener esquemas de seguridad dentro de las empresas con respecto a los sistemas de informacin, debido al incremento de amenazas internas y externas que pueden llegar a afectar la gestin de las organizaciones. Para ello es necesario ubicar las mejores metodologas que ayuden a mejorar los niveles de seguridad, as como prevenir los posibles riesgos en el manejo de datos. En el presente captulo se desarrollarn estos aspectos. La informtica ha sido tradicionalmente una materia compleja en todos sus aspectos, por lo que se hace necesaria la utilizacin de metodologas en cada rama que la integra, desde su diseo de ingeniera hasta el desarrollo de software, y por supuesto la auditoria informtica.Una metodologa es necesaria para que un equipo de profesionales alcance un resultado homogneo, por lo que resulta habitual el uso de metodologas de empresas auditoras profesionales, desarrolladas por los expertos para conseguir resultados homogneos en equipos de trabajo heterogneos. La proliferacin de metodologas en el mundo de la auditoria y el control informativos surgen en la dcada de los ochenta, paralelamente al nacimiento y comercializacin de determinadas herramientas metodolgicas, como el software de anlisis de riesgos. Pero el uso de mtodos de auditoria es casi paralelo al nacimiento de la informtica, en la que existen muchas disciplinas

29

cuyo uso de metodologas constituye una prctica comn. Una de ellas es la seguridad informtica.9 El nivel de seguridad informtica en una entidad es un objetivo a evaluar y est directamente relacionado con la calidad y eficacia de un conjunto de acciones y medidas destinadas a proteger y preservar la informacin de la entidad y sus medios de proceso. Cuando se evala el nivel de seguridad de sistemas en una empresa se estn evaluando los siguientes factores: normatividad de la empresa, organizacin, metodologas, objetivos de control, procedimientos de control, tecnologa de seguridad y herramientas de control, para despus plantar un plan de seguridad nuevo que mejore todos los factores, aunque conforme se vayan realizando los distintos proyectos del plan no irn mejorando todos por igual. Al finalizar el plan, se habr conseguido una situacin nueva en la que el nivel de control sea superior al anterior. En el mundo de la seguridad informtica se utilizan todas las metodologas necesarias para realizar un plan de seguridad adems de las de auditoria informtica. Las dos metodologas de evaluacin de sistemas por antonomasia son las de anlisis de riesgos y las de auditoria informtica. La auditoria informtica solo identifica el nivel de exposicin por la falta de controles, mientras que el anlisis de riesgo facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de las mismas10.

Rodrguez Luis ngel, Seguridad de la informacin en sistemas de cmputo, Ediciones Ventura, Mxico 2008. p. 35 Hernndez Enrique. La auditoria informativa y su entorno. Auditoria en Informtica: Un Enfoque Metodolgico. CECSA. 2005. p. 21-2210

9

30

2.1 TIPOS DE METODOLOGAS Todas las metodologas existentes desarrolladas y utilizadas en la auditoria y el control informticos, se pueden agrupar en dos grandes familias: cuantitativas y cualitativas. 2.1.1 Metodologas Cuantitativas Diseadas para producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados valores numricos. Estos valores, en el caso de metodologas de anlisis de riesgos, son datos de probabilidad de ocurrencia (riesgo) de un evento que se debe extraer de un registro de incidencia donde el nmero de incidencias tienda al infinito o sea suficientemente grande. Sin embargo, esto no pasa en la prctica, y se aproxima ese valor de forma subjetiva restando as rigor cientfico al clculo. Pero dado que el clculo se hace para ayudar a elegir el mtodo entre varias contramedidas se podra aceptar, y al mismo tiempo, por los clculos obtenidos, permite identificar los puntos ms vulnerables. Se indican dos inconvenientes que presentan este tipo de metodologas; por una parte la debilidad de los datos de la probabilidad de ocurrencia por los pocos registros y la poca significacin de los mismos a nivel mundial, y por otro la imposibilidad o dificultad de evaluar econmicamente todos los impactos que pueden acaecer frente a la ventaja de poder usar un modelo matemtico para el anlisis.

31

2.1.2 Metodologas Cualitativas. Precisan de la participacin de un profesional experimentado, pero requieren menos recursos humanos y tiempo que las metodologas cuantitativas.La tendencia de uso en la realidad es una mezcla de ambos. A continuacin se muestra un cuadro comparativo entre ambos tipo de metodologas.

Cuantitativa Enfoca pensamientos mediante el uso de nmeros. Facilita la comparacin de vulnerabilidades muy distintas Proporciona una cifra justificante para cada contramedida. Contras Estimacin de probabilidad depende de estadsticas fiables inexistente. Estimacin de perdidas potenciales solo si son valores cuantificables. Metodologas estndares. Difcil de mantener o modificar Dependencia de un profesional Pros

Cualitativa Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo Se concentra en la identificacin de eventos. Incluye factores intangibles Depende en gran medida de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list). Identificacin de eventos reales ms claros al no tener aplicar probabilidades complejas de calcular. Dependencia de un profesional.

2.2 TIPOS DE RIESGOS Entre otros, los tipos de riesgo que deben considerarse en cualquier

metodologa de anlisis de riesgo son riesgos externos e internos. 2.2.1 Riesgos Externos Son todos aquellos que se presentan en el ambiente fsico y social que rodea a una instalacin de procesamiento de informacin. Si bien no es posible eliminarlos, si es factible tomar las medidas necesarias que minimicen la probabilidad de prdida de informacin o destruccin de las instalaciones. Pueden ser naturales u ocasionados por el hombre.

32

En los ocasionados por desastres naturales se consideran, entre otros: inundaciones, temblores, tornados, tormentas elctricas, huracanes, erupciones volcnicas, etc. En los propiciados por el hombre se encuentran: incendios, explosiones, accidentes laborales, bombas, destruccin fraude, contaminacin ambiental, etc. intencional, sabotaje, robos,

2.2.2 Riesgos internos Se generan dentro de la misma empresa. Por su origen, son ms sencillos de prever. Sin embargo y aun cuando parezca contradictorio, ser ms fcil que se presenten, ya que el conocimiento de los procedimientos internos de operacin har ms sencillo el camino de alguna persona interesada en daar a la empresa. Por ejemplo: robo de material, de recursos o de informacin, sabotaje, destruccin de datos o recursos, huelgas, fraudes, etc. Una vez determinados los riesgos, es importante que se realice una evaluacin del presupuesto asignado para reducirlos. Se deben considerar los siguientes puntos11: a) Objetivo, qu se busca con un plan de reduccin de riesgos? b) Alcance y recursos, determinar la magnitud de las necesidades de la empresa y los recursos de la organizacin para satisfacerlas c) Planeacin profunda, el plan debe considerar todas las posibilidades y evaluar hasta el ms mnimo riesgo existente.11

Rodrguez Luis ngel La seguridad de la Informacin. Op. Cit. P. 148-150

33

d) Organizacin del proyecto, es necesario contar con un responsable de los trabajos realizados, que cocimiento de lo que se ha hecho e) Esfuerzo conjunto. 2.2.3 Delitos informticos ms usuales A continuacin se describen los delitos informticos que presentan una mayor incidencia. y Robo de equipos y de Informacin En los centros de cmputo se encuentran activos de gran valor monetario, que resultan susceptibles de ser sustrados. Ms grave aun puede resultar la sustraccin de informacin, parte de la cual tiene carcter de confidencialidad. A continuacin analicemos algunos de los delitos ms usuales, considerando que la lista puede ser mucho ms extensa, y que seguimos aadiendo nuevas variantes de los delitos sealados. tenga pleno

y Actos destructivos premeditados Un ejemplo de actos destructivos premeditados son los actos terroristas de los cuales nuestro pas ha estado prcticamente exento, pero no por eso podemos decir que sea inmune.

y Piratera de software En aos recientes, la piratera de software (el robo de copias de software comparado), se ha vuelto un nuevo riesgo de seguridad, esto se debe a la

34

proliferacin de las microcomputadoras personales, en ellas los programas que corren en una, corren fcilmente en otra.

y Crimen por computadora Es un trmino general para describir cualquier uso de sistemas

computarizados y llevar cabo actos ilegales. Se piensa, y es correcto en parte, que los crmenes por computadora, (sabotaje y espionaje) son relativamente poco frecuentes. De la misma manera, probablemente la mayora de los directores de las empresas tienden a pensar que un desastre nunca me tocar a m. Pero esta actitud ha probado muchas veces ser peligrosa. Desafortunadamente no podemos confiar en que todos sean honestos.

El problema parece estarse incrementando

con el uso creciente de

computadoras, ya que la aplicacin de la tecnologa nos est llevando rpidamente hacia una sociedad sin dinero en efectivo. Los sistemas de punto de venta, cajeros automticos (ATM), sistemas de pago por telfono y sistemas de trasferencia electrnica de fondos se estn volviendo parte de nuestra vida diaria, con la posibilidad de usarlos en forma indebida.

y Sabotaje Los saboteadores no tratan de robar nada. En lugar de esto, tratan de invadir y daar hardware, software, informacin o datos. Pueden ser hackers (aunque ellos no tratan de hacer dao, en ocasiones lo hacen por error), empleados con privilegios de acceso, o espas.

35

Existen inclusive, algunas organizaciones con el objetivo expreso de daar computadores. El ao 2008 la Comisin Federal de Comercio de EE UU recibi 219,000 quejas y espera que aumente 10 veces para el 2012.

En el caso de Mxico un estudio efectuado en el ao 2010 a una seleccin de 15 empresas ubicadas en el Distrito Federal por parte de la Universidad Nacional Autnoma de Mxico determina que el mayor nmero de casos de sabotaje son realizados por personal que labora an en la empresa, o los propios los ex empleados, y en algunos casos son efectuados por personas o grupos radicalesinconformes con el actuar de algunas compaas y que ostentan temas de derechos humanos, ecolgicos, cuidado de los animales, y en general con temas polticos o de reivindicaciones sociales. y Espionaje industrial En forma natural el espionaje tiene hoy a las computadoras como uno de sus objetivos principales. Los espas trataran de obtener informacin de medios de almacenamiento magnticos en lugar de otras fuentes tradicionales. Recordemos que la informacin guardada en medios magnticos es fcilmente identificada, ordenada y copiada, en ocasiones sin dejar rastro.

2.3 PRINCIPALES VULNERABILIDADES EN EL REA DE SISTEMAS Se ha presentado una serie de contingencias relacionadas con los sistemas. Para desarrollar medidas efectivas de seguridad contra estos riesgos, es necesario entender situacin Tabla) bien sus causas. Aunque cada desastre implica una particular, es posible identificar condiciones que incrementan la

vulnerabilidad a cada tipo de contingencia, o a varios tipos de estas (ver

36

TABLA Condiciones que incrementan la vulnerabilidad a desastresCONTINGENCIA Desastres no intencionales Error del operador CONDICIONES QUE INCREMENTAN LA VULNERABILIDAD Dificultad para prever cmo funcionarn los sistemas y cmo se adaptaran los sistemas y como se adaptarn a ellos los usuarios. Complacencia al suponer que el sistema operar como se espera Falta de trabajo y cuidado para asegurar que los sistemas funcionen correctamente No creer que el hardware puede fallar Dificultad para decir si la falla esta en el hardware o en el sistema Diseo y pruebas inadecuadas Factores no esperados que afectan la operacin del sistema. Fallas en los procedimientos Falta de capacidad en el software para detectar muchos tipos de errores. Falta de cuidado Respaldos no adecuados Seguridad fsica contra fenmenos naturales no adecuada. Proteccin no adecuada contra fallas en los sistemas de apoyo a la computadora Mal diseo Demanda de trabajo no prevista Diseo no adecuado del sistema de computo Existencia de muchos objetivos fciles para el robo Sistemas distribuidos

Falla de hardware Errores de software Errores en los datos

Dao a las instalaciones y medios de almacenamiento. Desastres intencionales Desempeo no adecuado de los sistemas Robo

Prevencin no adecuada de accesos no autorizados (a sistemas e instalaciones) Vandalismo y Procedimientos no adecuados de seguridad en sabotaje toda la empresa Fuente: Rodarte, Salcedo, Condiciones que incrementan la vulnerabilidad a desastres, Mxico, 2008.

37

En forma general, la informacin computarizada es particularmente vulnerable porque: y Est ms concentrada. Una computadora, o algunas veces una base de datos o grupos de archivos, puede almacenar o contener informacin de muchos departamentos, los cuales fueron compilados anteriormente de kardex individuales en diversas reas. y Es ms accesible. En el pasado solamente unos pocos empleados tenan acceso a sus archivos. Hoy en da, miles de empleados usan computadoras y, a menos que se hayan tomado medidas apropiadas de seguridad, la informacin confidencial puede ser fcilmente accedida. y Est sujeta a daos no detectables o uso indebido. No es posible ver fsicamente los daos almacenados en una computadora, as, los cambios y eliminaciones no deseados son menos obvios. Un solo error puede daar o eliminar un archivo, y un comando puede borrar todos los archivos contenidos en un disco duro.12 2.4 METODOLOGA DE ANLISIS DE RIESGOS El objetivo general del anlisis de riesgos es cuantificar los riesgos a que estn sujetos los activos de una empresa, la prdida esperada y el costo de tomar medidas de control. El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y

12

Unda, Rodrguez, Vulnerabilidades en seguridad informtica, Ed. Prentice Hall, 2009. p. 121.

38

procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar prohibido" y sta debe ser la meta perseguida. Los medios para conseguirlo son: y Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. y Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). y Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. y Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. y Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. y Actualizar constantemente las contraseas de accesos a los sistemas de cmputo.13

13

Instituto Tecnolgico Superior de Calkini, Anlisis de riesgos, Campeche, 2011.

39

2.4.1 Objetivos especficos del anlisis de riesgo 1.Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas. El tiempo y los recursos necesarios para atacar los problemas dependern del tipo de riesgo considerado. Se debe tomar en cuenta que muchas veces se incrementa la prdida por la interrupcin de labores o bien que puede existir una prdida de oportunidades para la empresa en caso de que la restriccin tome mucho tiempo. Los recursos actuales disponibles ayudarn a contrarrestar los gastos y deben considerarse dentro del anlisis. 2. Determinar cules son los activos existentes. Al determinar los activos existentes es recomendable realizar un inventario detallado. Adems se deben evaluar los costos de las prdidas potenciales y cuantificar los costos de reposicin y reparacin. Se pueden sealar tres reas de riesgo bsicas instalaciones de proceso de informacin, informacin y comunicaciones. 3. Llevar a cabo un anlisis minucioso de riesgos y debilidades. Identificar las fuentes, alcances, mtodos y amenazas potenciales. Estimar la probabilidad de ocurrencia. Tambin se deben identificar las debilidades potenciales y todos los tipos de amenazas y vulnerabilidades. 4. Identificar, definir y revisar todos los controles de seguridad ya existentes. Se deben sistema. 5. Determinar si es necesario incrementar las medidas de seguridad, los costos de riesgo y los beneficios esperados. El anlisis de riesgos deber definir cules son las medidas a implantar y las ventajas y desventajas de cada decisin. identificar las defensas existentes, as como los recursos del

40

Para determinar la probabilidad de que ocurra un evento que dae las instalaciones se recurre a diversas tcnicas. El objetivo del anlisis de riesgos, bajo este criterio, se divide en dos: y Reducir la probabilidad de que ocurra un evento y Proporcionar los elementos de seguridad y proteccin adecuados para que, en el caso de que ocurra un desastre, los costos en que se incurra no sean tan altos. El autor Luis ngel Rodrguez, propone que el esquema bsico de una metodologa de anlisis de riesgos es en esencia el siguiente:

Etapa 1 Etapa 2 Etapa 3 Etapa 4 Etapa 5 Etapa 6

Cuestionario Identificar los riesgos Calcular el impacto Identificar las contramedidas y el costo Simulaciones Creacin de los informes

Con base a cuestionarios se identifican vulnerabilidades y riesgos y se evala el impacto para ms tarde identificar las contramedidas y el costo. La siguiente etapa es la ms importante, pues mediante un juego de simulacin

41

(el cual puede representarse con la condicin Que pasa si?) se analiza el efecto de las distintas contramedidas en la disminucin de los riesgos, eligiendo de esta manera un plan de seguridad que compondr el informe final de la evaluacin.14 Un anlisis de riesgos debe prepararse de forma personalizada para cada rea u organizacin, ya que es muy difcil establecer un estndar de evaluacin de seguridad debido las diversas maneras en que se utiliza la informacin y la manera que se procesa. Segn el artculo del The Journal of Information Systems Audit And Control Association15 se identifican dos tipos de metodologas para anlisis de riesgos: anlisis de riesgo basado en misiones y anlisis de riesgos orientado a amenazas. El primer mtodo supone un conjunto predefinido de capacidades en el adversario para determinar si puede explotar los posibles fallos en la seguridad del sistema. En los mtodos orientados a amenazas el anlisis slo se puede llevar a cabo cuando el sistema se encuentra bien definido, las capacidades en el adversario para determinar si puede explotar los posibles fallos en la seguridad del sistema. Este tipo de mtodo es til cuando, por ejemplo, se desea saber los riesgos que existen con un determinado sistema informtico. Un punto dbil de este mtodo es que solo se puede demostrar la inseguridad de un sistema, mas no la seguridad; por lo que existe desconocimiento sobre operaciones no identificadas adicionales. Por otra parte, los mtodos orientados a misin intentan identificar todos los peligros que amenazan a corto plazo dichaRuiz, Gonzlez, Francisco, Planificacin y gestin de sistemas de informacin, Universidad de Castilla, Espaa, 2000. 15 Governance Institute, Valor para la empresa, USA, 2006.14

42

misin, entendindose como misin los objetivos de la organizacin. Estos se utilizan para definir los requisitos bsicos de seguridad de los sistemas. Este anlisis consta de cuatro elementos: y Anlisis de fallos en la seguridad. Estudiar las computadoras, su software, su localizacin y utilizacin con el objeto de identificar los huecos en la seguridad que pudieran poner un peligro para la misin. Por ejemplo, si se instala una PC para recibir informes desde otras PCs situadas en lugares remotos, se ha abierto una va de acceso al sistema, por lo tanto habra que tomar medidas de seguridad para protegerlo, como puede ser la validacin de claves de acceso. y Anlisis de peligros. Estudiar la capacidad de los peligros potenciales para determinar si podran o no causar o producir fallos en la seguridad.

y Reduccin de riesgos. Si el anlisis de las debilidades del sistema y de la capacidad de los adversarios revela riesgos que se juzgan innecesarios, se hace necesaria una reduccin de riesgos. Se habrn de considerar ms medidas de respuesta, con una evaluacin de la relacin costo-efectividad, cuanto mayores sean las perdidas posibles por un fallo en la seguridad, mayor es la justificacin de una reduccin de riesgos. y Evaluacin de la seguridad. Debido a que la seguridad absoluta es un objetivo inalcanzable, un conjunto concreto de medidas de seguridad se ha de probar hasta que muestra sus puntos dbiles. La evaluacin de seguridad del sistema con las protecciones en activo constituye una parte importante del proceso de anlisis de riesgos,

43

en el cual se exploran las posibilidades de perdida, las consecuencias de sta y las probabilidades de que ocurra.16 Para el caso de Mxico las empresas no se tienen an bien definidas las metodologas de anlisis de riesgos en cuanto a la seguridad, nicamente como lo seala Garca y Martnez en su artculo denominado: "Anlisis y control de riesgos de seguridad informtica", algunas compaas generalmente grandes o transnacionales, aplican el estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) el cual fue aprobado y publicado como estndar internacional en octubre de 2005 por International Organization for Standardization. La ISO/IEC 27001 basa su operacin en el proceso "Planificar-HacerControlar-Actuar" siendo este un enfoque de mejora continua: y Plan (planificar): es una fase de diseo del SGSI, realizando la evaluacin de riesgos de seguridad de la informacin y la seleccin de controles adecuados. y Do (hacer): es una fase que envuelve la implantacin y operacin de los controles. y Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeo (eficiencia y eficacia) del SGSI. y Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a mximo rendimiento.

A continuacin abordaremos algunos mtodos de anlisis de riesgos.Show Davis. Risk Analysis: Methods and Processes. The Journal of information system Audit and Control association. EUA. 2008; Volumen III: p. 35-38.16

44

2.5 MTODO MARION Mtodo documentado en dos libros de los cuales el mas actual es La securite des reseaux-Mathods et Techniques de JM Lamere y Leroux J. Tourly. Tiene dos productos: MARION AP+ para sistemas individuales y MARION RSX para sistemas distribuidos y conectividad. Es un mtodo cuantitativo y se basa en la encuesta anual de miembros del C.L.U.S.I.F. (base de incidentes francesa). No contempla probabilidades, sino esperanzas matemticas que son aproximaciones numricas. MARION AP+ utiliza cuestionarios y parmetros correlacionados enfocados a la presentacin grfica de las distintas contramedidas en cada uno de los factores (27 factores en seis categoras). Las categoras son: seguridad informtica general, seguridad informtica factores socioeconmicos, concientizacin sobre la general, concientizacin sobre la seguridad de17

software y materiales, seguridad en explotacin y seguridad de desarrollo.

El anlisis de riesgo lo hace sobre diez reas problemticas a travs de cuestionarios. Estas reas son: 1. Riesgos materiales 2. Sabotajes fsicos 3. Averas 4. Comunicaciones 5. Errores de desarrollo 6. Errores de explotacin 7. Fraude 8. Robo de informacin

Universidad Andina de Cusco, Seguridad de sistemas, metodologa de auditora informtica y control interno, Per, 2010.

17

45

9. Robo de software y, 10. Problemas de personal 2.6 METODOLOGA BS 7799 BS 7799 es una metodologa britnica reconocida mundialmente, tiene como principal objetivo la administracin de seguridad de la informacin. Est respaldado por el BSI (British Standard Institute). Desarrollado en demanda del sector pblico, comercial e industrial para ejercer un marco de trabajo comn, cuya finalidad es que las apliquen medidas compaas desarrollen, implementen y efectivas de seguridad, adems de proporcionar

confidencialidad en la transferencia de informacin entre compaas. Est basado, de acuerdo al BSI, en las mejores prcticas actuales de seguridad de la informacin en Inglaterra y en empresas internacionales.18

Dada su gran utilizacin y adopcin como cdigo de prctica en varios pases europeos, en 1999 se propuso que esta metodologa se reconociera como un estndar internacional para seguridad de la informacin por la ISO (Internacional Organization for Standarization). Finalmente ISO 1799. La metodologa est conformada por dos partes: Primera parte. Cdigo de prctica para sistemas de Administracin de Seguridad de la informacin, contiene ms de 100 controles de seguridad divididos en diez secciones, los cuales se adaptan a las necesidades especificas que empresas de diversos sectores pudieran presentar.Informacin publicada en la pagina web del Instituto Nacional de Estadstica e Informtica de Per http://www.iei.gob.pe. Plan de Contingencias y seguridad de la informacin. Metodologas Informticas 2011.18

en Octubre de

2000 fue aprobada como estndar de ISO y actualmente se conoce como

46

1. Polticas de seguridad 2. Organizacin y control de activos 3. Clasificacin y control de activos 4. Seguridad del personal 5. Seguridad fsica y ambiental 6. Administracin cmputo. 7. Control de acceso a sistemas. 8. Desarrollo y mantenimiento de sistemas. 9. Planeacin para la continuidad del negocio 10. Cumplimiento de redes y equipo de

. Segunda parte. Indica los requerimientos para establecer, implementar y documentar medidas de seguridad de la informacin. Consta de cuatro fases: evaluacin de riesgos, manejo de riesgos, implementacin de los dispositivos de seguridad y enunciado de aplicabilidad. y Evaluacin de riesgos: es el anlisis de lo que puede sucederle la informacin y el impacto que objetivos de la compaa. y Manejo de riesgos: es el plan que la empresa puede utilizar para reducir los riesgos. Los mtodos utilizados en el manejo de riesgos no solo comprenden dispositivos de seguridad, como firewalls, sino tambin seguridad fsica, procedimientos administrativos, planes de contingencia e iniciativas de los recursos humanos. incide, y que puede tener en los

47

y Dispositivos de seguridad: son las herramientas actuales y recursos identificados y adoptados por la empresa para minimizar los riesgos. y Enunciado de aplicabilidad: es un plan de seguridad que se requiere para la acreditacin BS7799. Este instructivo comprende los controles de seguridad que la empresa ha adoptado y las razones por las cuales se tomaron esas medidas. Adems la empresa debe listar los controles que no se han adoptado y de igual forma, indicar la razn. 2.7 OTRAS METODOLOGAS 2.7.1 PRIMA (Prevencin de Riesgos Informticos con Metodologa Abierta) Es un compendio de metodologas espaolas con un enfoque subjetivo, desarrolladas a principios de los aos 1990. Sus caractersticas esenciales son: y Cubrir las necesidades de los profesionales que desarrollan cada uno de los proyectos necesarios de un plan de seguridad y Fcilmente adaptable a cualquier tipo de herramienta y Posee cuestionarios de preguntas para la identificacin de debilidades o falta de controles. y Posee listas de ayuda para los usuarios menos experimentados debilidades, riesgos y recomendaciones. y Permite fcilmente la generacin de informes finales y Las listas de ayuda en los cuestionarios son abiertas y por lo tanto es posible introducir informacin nueva o cambiar la existente. y Es cualitativa y con capacidad de aprendizaje al poseer una base de conocimiento o registro de incidentes.

48

2.7.2 BDSS: Bayesian Decisin Support System, Sistema Bayesiano de Soporte a Decisiones. Soporta la evaluacin de riesgos cuantitativos en un entorno de proceso de datos. Se ejecuta en cualquier PC y soporta todas las tareas de una evaluacin de riesgos cuantitativa detallada y completa. Est diseado para responder las siguientes preguntas que de acuerdo a sus creadores, engloban un amplio anlisis de riesgos: 1. Qu puede ir mal? 2. Con qu frecuencia puede ocurrir? 3. Cules seran sus consecuencias? 4. Qu fiabilidad tienen las respuestas a las tres primeras preguntas?19

Par responder la primer pregunta, el BDSS desarrolla un modelo de riegos lgico sobre el entorno de procesamiento de la informacin, basndose en las respuestas que se den a una serie de preguntas que hace. Una lgica interna controla el proceso de obtener la informacin, de forma que las preguntas que el sistema hace se encuentran determinadas en gran medida por las respuestas a las preguntas anteriores. De esta forma BDSS desarrolla un modelo de riesgos adaptados al entorno de procesamiento de informacin de la organizacin cliente. Para responder a la segunda pregunta, BDSS calcula las distribuciones de probabilidad para varios escenarios de riesgo. Esto se hace integrando informacin y utilizando algoritmos matemticos y lgicos complejos.

Mesa, Morales Enersy, Sistema para el anlisis cuantitativo de los riesgos para los proyectos de produccin de software, universidad de las ciencias informticas, Cuba, 2010.

19

49

Para responder a la tercer pregunta, BDSS tiene en cuenta tanto recursos tangibles como intangibles, yendo de las computadoras al impacto en la misin o negocio. Se gua al usuario a travs de un proceso que identifica y evala el valor de los recursos, adems del impacto inmediato y posterior de su prdida. La respuesta a la cuarta pregunta, la obtiene BDSS mediante la integracin bayesiana de la falta de certeza dentro del anlisis del modelo de riesgo lgico. Este retrato realistico de la falta de certeza segn valores calculados, constituye el atributo central del anlisis de riesgos BDSS. El sistema BDSS contina proponiendo proteccin basadas en su anlisis de modelo de riesgos. Se es libre de seleccionar las protecciones que se deseen, y en ese caso el programa calcular la reduccin de riesgo atribuible a esa seleccin. Se representan grficamente los resultados, mostrando los niveles de riesgo antes y despus de aplicar las protecciones. Esto se hace mediante curvas de riesgo, en la que se muestra el rango verdadero de la exposicin de prdida y el rango de probabilidades saciado. Tras revisar estas grficas, se selecciona la combinacin ms efectiva de protecciones. Finalmente, BDSS lleva a cabo, basndose en los parmetros que se le ofrecen, el anlisis costo-beneficio de las protecciones que ha identificado como ms efectivas. 2.8 LA PROTECCIN DE LA INFORMACIN Un estudio realizado por Computing e Information Week muestra que un 59 por ciento de las compaas encuestadas califican a la seguridad como prioridad alta. Sin embargo, las organizaciones se estn enfrentando a una media de 14 incidentes, cada ao, y adicionalmente casi la mitad no tiene conciencia de cundo sus redes estn sufriendo un ataque electrnico. De

50

esta forma, un 43 por ciento de los encuestados afirma que la mayor barrera para disponer de una seguridad efectiva pasa por la creciente sofisticacin de las amenazas y ataques, aunque casi un 25 por ciento de las compaas analizadas no han revisado o medido el verdadero alcance de su poltica de seguridad en los ltimos doce meses.20 Igualmente, los ataques ms comunes proceden de explotar vulnerabilidades en sistemas operativos como MicrosoftR WindowsR, de forma que cuatro de cada diez incidentes se basan en este mtodo. Blaster, Slammer o Sobig han sido los virus ms comunes recientemente, debido a la propagacin por medio del correo electrnico. Como dato relevante, un 42 por ciento de los usuarios de equipos en las empresas no conocen la poltica de seguridad de su organizacin. La educacin debe as convertirse en va importante para combatir las amenazas. Tres de cada cinco entidades consultadas consideran que mejorar estos avisos constituye una prioridad para el prximo ao. Paralelamente, los organismos gubernamentales y asociaciones que luchan contra los delitos informticos insisten en que los ataques deben hacerse pblicos por parte de las empresas. No obstante, ms de la cuarta parte de los entrevistados no ha informado de los incidentes sufridos en el apartado de seguridad. 2.9 ANLISIS DE RIESGOS El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder20

Informe Global Information Security 2003, realizado por Computing, Information Week p. 24

51

a ellos a las personas autorizadas para hacerlo.Existe un viejo dicho en la seguridad informtica que dicta: lo que no est permitido debe estar prohibido y esto es lo que debe hacer sta seguridad lgica.Los objetivos para conseguirlo son:21 y Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. y Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). y Asegurar que se utilicen los datos, archivos y programas correctos en el procedimiento elegido. y Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. y Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o softwares empleados. 2.10 PLANES DE CONTINGENCIA

Universidad Catlica de Loja, Organizacin, Direccin y Administracin de Centros de Cmputo, Ecuador, 2011.

21

52

Es posible que en cualquier organizacin existan instalaciones y aplicaciones consideradas de alto riesgo, causando trastornos severos a la funcionalidad general de la organizacin o de la comunidad en caso de que el servicio se interrumpa cierto periodo de tiempo; o que pueden fcilmente continuar sin afectar grandemente a la organizacin gracias a la utilizacin de medios alternos. Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un estudio costo/beneficio adecuado entre el costo por prdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente: y Clasificar la instalacin en trminos de riesgo: alto, mediano y bajo. y Identificar aquellas aplicaciones que tengan un alto riesgo. y Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo y Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera y Justificacin del costo de implantar las medidas de seguridad Una vez que se ha definido el grado de riesgo, hay que elaborar una lista de los sistemas con las medidas preventivas que se deben tomar, as como las correctivas en caso de desastre sealndole a cada uno su prioridad. En caso de desastres, se recomienda trabajar los sistemas de acuerdo a sus prioridades, ya que no se podrn trabajar los sistemas en otra instalacin, en la misma forma en la que se venan trabajando en la instalacin original. El plan de contingencia es uno de los subtemas que estn comprendidos dentro de seguridad de la informacin. Cada uno de los puntos es independiente de los dems, ya que puede existir sin importar si existen los dems. Sin embargo, para maximizar la seguridad de la informacin, es necesario que se trabaje de manera integral en todos los aspectos.53

Por ejemplo, no servira de mucho tener una perfecta clasificacin de la informacin y no tener nada de seguridad fsica. As, para que el plan de contingencia pueda ser mejor y de los mejores resultados, debe existir conjuntamente con planes de seguridad fsica, lgica, aseguramiento, etc. Inclusive, es necesario que el coordinador de recuperacin de desastres se involucre en algunas de las reas de seguridad de la informacin, por ejemplo en el control de acceso fsico al centro de procesamiento de datos. Un gran nmero de desastres son el resultado de dao intencional o acceso indebido, y pueden reducir significativamente el riesgo de desastres provocados por el hombre. En general, es importante que el equipo, o al menos quien elabora el plan de contingencia, entienda bien de los sistemas de seguridad instalados, y que sepa que es lo que est siendo salvaguardado por las medidas de seguridad, y as determine si esto debe permanecer diariamente instalacin o si estara mejor guardado fuera del site. Puede ser necesario que el encargado de la seguridad sea miembro de los equipos de recuperacin, ya que es importante que cuando se reacondicione el centro de cmputo, se reinstalen los controles de seguridad al mismo tiempo. Los anteriores constituyen ejemplos de la relacin entre seguridad de informacin y plan de contingencia, al cual se le considera como el principal elementos requerido para alcanzar el objetivo de la continuidad del negocio. En suma, incrementar la seguridad significa incrementar las posibilidades de salvaguardar los activos de una compaa, reduciendo el riesgo de prdida financiera. En un momento dado se podra probar que puede resultar mucho ms caro no invertir en todas las medidas en si mismas. De hecho invertir en seguridad de la informacin debera considerarse una forma de aseguramiento. Por otro lado, obviamente, estas medidas nunca pueden ser por si mismas garanta contra daos y accidentes. Estas medidas deben en la

54

estar en armona con todo el perfil y el medio ambiente de la empresa, Aun as, un cierto grado de riesgo tendr que ser aceptado, y desde luego no hay que ver cualquier pequea irregularidad como un gran problema, todo debe dimensionarse adecuadamente con respecto a la organizacin.

2.10.1 Beneficios de un plan de contingencia para la seguridad Las ventajas de crear y contar con un plan de contingencia abarcan lo tangible e intangible as:y y y y

Reduccin de los costos por perjuicios si ocurre un siniestro. Las primas de seguro de bajo costo. Mayor comunicacin y mejores relaciones entre los departamentos. Una mayor conciencia entre el personal de seguridad sobre la importancia de la seguridad y el valor de la propiedad que se est protegiendo.

2.10.2 Etapas clave en la elaboracin de planes de contingencia Las partes involucradas en el desarrollo de un plan de contingencia deben saber escuchar y comunicarse. Aunque existen algunas etapas importantes de desarrollo, mantener un buen plan significa repetir continuamente estas etapas, volver a evaluar el plan y revisarlo. 1. Determinacin del objetivo: El punto de partida para el desarrollo de un plan de contingencia es determinar un objetivo claro. El departamento de TI y los funcionarios de nivel ejecutivo deben identificar el objetivo operativo en caso de una emergencia en materia de seguridad. Por ejemplo, determinar si el objetivo es proteger cierta informacin y bienes, es mantener operaciones comerciales o brindar un excelente servicio al cliente. El objetivo ayudar al departamento de

55

TI a definir un plan estratgico de accin y determinar los recursos que se deben proteger primero. 2. Realizacin de un inventario completo: Se deben identificar las principales herramientas de TI, los recursos y las tareas prioritarias para realizar negocios y atender las funciones crticas establecidas en el objetivo de la elaboracin de planes de contingencia. 3. Anlisis de riesgos: Evale los perjuicios financieros, tcnicos jurdicos y operativos totales que pudieran ocurrir como resultado de una brecha del sistema de seguridad. El riesgo abarcara perjuicios potenciales a los clientes y compaas. Tambin analice amenazas a la seguridad y los perjuicios que potencialmente podran ocasionar a varios departamentos y operaciones. El software de administracin de riesgos a la seguridad puede ayudar al personal de TI a evaluar el impacto de las amenazas a la seguridad de la compaa. 4. Desarrollo de un plan de accin: Repase los escenarios detallados de "qu pasara si..." que implican diferentes amenazas a la seguridad y los efectos posibles en las operaciones. Para cada escenario potencial de disminucin de riesgos, tenga en cuenta a las personas involucradas, sus responsabilidades, las consideraciones presupuestales, etc. 5. Prevea un "Plan B": Aunque los mejores planes de contingencia en el momento de su ejecucin encuentran problemas tcnicos, trate de anticiparse a estos problemas y crear soluciones alternas. 6. Planeacin de las comunicaciones y compras: Los mejores planes son efectivos solo si los empleados tienen en cuenta su importancia y entienden sus mensajes y procesos. Los departamentos de recursos

56

humanos, de aspectos jurdicos y finanzas deben revisar y responder a los planes de contingencia de seguridad en cada etapa de desarrollo.22

Casilla, Rondan, Ivn, Elaboracin de un plan de seguridad de informacin en la universidad, Universidad Nacional Jorge Basadre Grohmann, Per, 2011.

22

57

CAPTULO 3 PAUTAS Y RECOMENDACIONES PARA ELABORAR POLTICAS DE SEGURIDAD INFORMTICA

Como hemos visto las polticas en seguridad en informtica son necesarias para mantener los datos resguardados ante cualquier contingencia que trate de vulnerar, Una vez determinadas las metodologas es importante contar con un marco de accin, parmetros, y un sustento para proceder a elaborar estas polticas, el presente captulo nos servir para dilucidar el presente aspecto. La seguridad informtica ha tomado gran auge debido a las condiciones cambiantes y plataformas tecnolgicas nuevas. La posibilidad de interconectarse a travs de redes ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar ms all de las fronteras nacionales, lo cual lgicamente ha trado consigo la aparicin de amenazas para los sistemas de informacin. Estos riesgos que se enfrentan ha llevado a que se desarrollen documentos y directrices que orientan en el uso adecuado de estas destrezas tecnolgicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la empresa. En este sentido, las polticas de seguridad informtica surgen como una herramienta organizacional para concientizar a los colaboradores de la organizacin sobre la importancia y sensibilidad de la informacin y servicios crticos que permiten a la empresa crecer y mantenerse competitiva, sin comprometer la informacin de la organizacin. Ante esta situacin, el proponer o identificar una poltica de seguridad requiere un alto compromiso

58

con la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha poltica en funcin del entorno dinmico que rodea las organizaciones modernas. 3.1 QU SON LAS POLTICAS DE SEGURIDAD INFORMTICA? Las polticas de seguridad son las reglas y procedimientos que regulan la forma en que una organizacin previene, protege y maneja los riesgos de diferentes daos. Una poltica de seguridad informtica (PSI) es aquella que fija los mecanismos y procedimientos que deben adoptar las empresas para salvaguardar sus sistemas y la informacin que estos contienen. Si bien existen algunos modelos o estructuras tipo, tiene que disearse "a la medida" para as recoger las caractersticas propias de cada organizacin. Una buena poltica de seguridad corporativa debe establecer, de forma global, la estrategia para proteger y mantener la disponibilidad de los sistemas informticos y de sus recursos. Esta visin general resulta vital para asegurar un nivel homogneo en el grado de seguridad que quiera alcanzarse, y evitar la aparicin de "agujeros negros" en determinados puntos del sistema. En definitiva, de nada sirve un buen cortafuegos si no se encuentra instalado un antivirus eficiente, o tener un software avanzado de deteccin de intrusos si se carece de una poltica de contraseas para los usuarios. Las reas que contemple la poltica de seguridad variarn en funcin de cada empresa y sistema. Como mnimo debern abordar apartados tales como: Evaluacin de riesgos, proteccin perimtrica, control de acceso a los recursos, directrices de uso de Internet, correo electrnico, antivirus y copias de seguridad.

59

Otra caracterstica importante que no debe olvidarse en las polticas de seguridad es su mantenimiento y revisin peridica. En la prctica, el crecimiento y la modificacin de los sistemas de la empresa, as como la aparicin continua de nuevas vulnerabilidades y amenazas, exigen que la poltica de seguridad corporativa sea un elemento vivo que se vaya adaptando a las necesidades que surgen cotidianamente. Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal en relacin con los recursos y servicios informticos importantes de la organizacin. No es una descripcin tcnica de mecanismos de seguridad, ni una expresin legal que involucre sanciones a conductas de los empleados, es ms bien una descripcin de lo que deseamos proteger y el por qu de ello.23 Cada PSI es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus activos principales as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa. Objetivos de las polticas de seguridad: El objetivo principal de las PSI es informar al mayor nivel de detalle a los usuarios, empleados y directivos de las normas y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizacin.Cobb Stephen, Manual de seguridad para PC y redes locales, MacGrawHill, Espaa, 1994. p. 8923

60

Los Componentes principales de una poltica de seguridad:

y Una poltica de privacidad y Una poltica de acceso y Una poltica de autenticacin y Una poltica de contabilidad y Una poltica de mantenimiento para la red y Una poltica de divulgacin de informacin 3.2 ELEMENTOS DE UNA POLTICA DE SEGURIDAD INFORMTICA Una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere una disposicin de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos:

y Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. y Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. y Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin. y Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica. y Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica.

61

y Responsabilidades de los usuarios con respecto a la informacin a la que l o ella tiene acceso. Las PSI deben ofrecer explicaciones comprensibles sobre por qu deben tomarse ciertas decisiones, transmitir por qu son importantes stos u otros recursos o servicios. De igual forma, las PSI establecen las expectativas de la organizacin en relacin con la seguridad y lo que ella puede esperar de las acciones que la materializan en la compaa. Deben mantener un lenguaje comn libre de tecnicismos y trminos legales que impidan una comprensin clara de las mismas, sin sacrificar su precisin y formalidad dentro de la empresa. Por otro lado, la poltica debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. No debe especificar con exactitud que pasar cuando algo suceda; no es una sentencia obligatoria de la ley. Finalmente, las PSI como documentos dinmicos de la organizacin, deben seguir un proceso de actualizacin peridica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, rotacin alta de personal, desarrollo de nuevos servicios, cambio o diversificacin de negocios, entre otros. 3.3 PARMETROS PARA ESTABLECER POLTICAS DE SEGURIDAD Si bien las caractersticas de la PSI que se han mencionado muestran una perspectiva de las implicaciones en la formulacin de estas directrices, se propone revisar algunos aspectos generales recomendados para la formulacin de las mismas:

62

y Es necesario que se efecte un ejercicio de anlisis de riesgos informtico a travs del cual se valoren los activos, el cual le permitir afinar las PSI de la organizacin. y El involucrar a las reas propietarias de los recursos o servicios en prioritario, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. y El comunicar a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad, ayudar a que funcione todo de manera correcta. y El recordar que es necesario identificar quin tiene la autoridad para tomar decisiones, pues son ellos los interesados en salvaguardar los activos crticos de la funcionalidad de su rea u organizacin. y Se debe desarrollar un proceso de monitoreo peridico de las directrices, que permita una actualizacin oportuna de las mismas y Un punto importante: no hay que dar por hecho algo que es obvio. Las PSI deben ser explcitas y concretas.

Cmo establecer una poltica de seguridad?y

Identificar y evaluar los activos: Qu activos deben protegerse y cmo protegerlos de forma que permitan la prosperidad de la empresa?

y

Identificar las amenazas: Cules son las causas de los potenciales problemas de seguridad? Considere la posibilidad de violaciones a la seguridad y el impacto que tendran si ocurrieran.

Estas amenazas pueden ser externas o internas:

63

Las amenazas externas: Se originan fuera de la organizacin y son los virus, gusanos, caballos de Troya, intentos de ataques de los hackers, retaliaciones de ex-empleados o espionaje industrial. Las amenazas internas: Son las amenazas que provienen del interior de la empresa y que pueden ser muy costosas porque el infractor tiene mayor acceso y perspicacia para saber donde reside la informacin sensible e importante. Las amenazas internas tambin incluyen el uso indebido del acceso a Internet por parte de los empleados, as como los problemas que podran ocasionar los empleados al enviar y revisar el material ofensivo a travs del Web.24 Evaluar los riesgos: ste puede ser uno de los componentes ms desafiantes del desarrollo de una poltica de seguridad. Debe calcularse la probabilidad de que ocurran ciertos sucesos y determinar cules tiene el potencial para causar mucho dao. El costo puede ser ms que monetario se debe asignar un valor a la prdida de datos, la privacidad, responsabilidad legal, atencin pblica indeseada, la prdida de clientes o de la confianza de los inversionistas y los costos asociados con las soluciones para las violaciones a la seguridad. Asignar las responsabilidades: Ser necesario seleccionar un equipo de desarrollo que ayude a identificar las amenazas potenciales en todas las reas de la empresa. Es ideal la participacin de un representante por cada departamento de la compaa. Los principales integrantes del equipo seran el administrador de redes, un asesor jurdico, un ejecutivo superior y un representante del departamento de recursos humanos. Establecer polticas de seguridad: El definir una poltica que a